Curso de Tecnologia em Segurança da Informação PROPOSTA DE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO FÍSICA
E LÓGICA PARA O CENTRO DINÂMICO DE APRENDIZAGEM - COLÉGIO CDA
Domingos Sávio de Arruda Bueno
Nei Evandro dos Santos
Brasília - DF 2016
Domingos Sávio de Arruda Bueno
Nei Evandro dos Santos
PROPOSTA DE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO FÍSICA E LÓGICA PARA O CENTRO DINÂMICO DE APRENDIZAGEM – COLÉGIO CDA
Trabalho de Conclusão de Curso apresentado às Faculdades Integradas Promove de Brasília como requisito parcial para obtenção do título de tecnólogo em Segurança da Informação. Orientadora: Prof.ª Dr.ª Maria José de Oliveira
Brasília - DF 2016
FICHA CATALOGRÁFICA
Bueno, Domingos Sávio de Arruda. Proposta de Política de Segurança da Informação Física
e Lógica para o Centro Dinâmico de Aprendizagem – Colégio CDA / Bueno, Domingos Sávio de Arruda; Santos, Nei Evandro.-- Brasília, 2016.
54f. Monografia (Curso de Tecnologia em Segurança da
Informação) – Faculdades Integradas Promove de Brasília 1. Segurança da Informação. 2. Política de Segurança.
I. Título.
Autor(es): Domingos Sávio de Arruda Bueno e Nei Evandro dos Santos Título do trabalho: Proposta de Segurança da Informação Física e Lógica do Centro Dinâmico de Aprendizagem – Colégio CDA.
Trabalho de Conclusão de Curso apresentado às Faculdades Integradas Promove de Brasília como requisito parcial para a obtenção do título de tecnólogo em Segurança da Informação.
Aprovado em _____/_____/______:
Orientadora: Prof.ª Dr.ª Maria José de Oliveira Faculdades Integradas Promove de Brasília Avaliador Prof.º MSc Cid Bendahan Coelho Cintra Faculdades Integradas Promove de Brasília Avaliador Prof.º Weldes Lima Oliveira Faculdades Integradas Promove de Brasília
CESSÃO DE DIREITOS
DEDICATÓRIA
Dedicamos este trabalho,
aos nossos pais, pela educação e exemplo recebidos
e às esposas e filhos pela paciência e compreensão
nos momentos de estudo.
AUTORES:
Domingos Sávio de Arruda Bueno Nei Evandro dos Santos
TÍTULO: PROPOSTA DE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO FÍSICA E LÓGICA PARA O CENTRO DINÂMICO DE APRENDIZAGEM - COLÉGIO CDA. GRAU/ANO: Tecnólogo/2016. É concedida à Faculdades Integradas Promove de Brasília a permissão parcial para reproduzir cópias da INTRODUÇÃO, RESUMO E CONCLUSÃO desta monografia e para emprestar tais cópias somente para propósitos acadêmicos e científicos. Os autores reservam outros direitos de publicação e nenhuma parte desta monografia pode ser reproduzida sem a autorização por escrito dos autores.
Domingos Sávio de Arruda Bueno [email protected]
Nei Evandro dos Santos [email protected]
AGRADECIMENTOS Primeiramente a Deus, que fez o céu, a terra e tudo que neles há. A ele toda a honra e toda a Glória. A minha mãe, Maria, pela vida, cuidado e dedicação.
A meu pai, Francisco, pelo suporte e exemplo. A esposa Mani, dona do meu coração. Nada disso seria possível sem o seu apoio. Aos filhos João Miguel e Vitor. Vocês deram um novo significado à minha existência. A orientadora, Maria José de Oliveira, que acreditou no nosso potencial e nos proporcionou essa oportunidade. Ao colega de projeto, Sávio, pelo desprendimento e excelência. As Faculdades Integradas Promove de Brasília. Nei Evandro dos Santos Agradeço ... A Deus, que me concedeu a oportunidade de estar aqui e poder, junto a meus familiares e amigos, estar sempre em constante crescimento espiritual e moral. Com base em seus ensinamentos e infinito amor. A meus pais, Neide e Marelson Bueno, por sempre acreditarem que tudo é possível com paciência, perseverança e amor. Aos meus irmãos, Chris e Rodrigo, pelos grandes momentos de união, principalmente em momentos difíceis. Ao amor da minha vida, Daniela Cortez, por estar sempre ao meu lado, apoiando em todos os momentos. Por estar sempre dentro do meu coração, mostrando que é possível ser feliz. Aos meus filhos, Letícia e Arthur, pela oportunidade de crescimento, de amadurecimento e da prática do amor. À querida Professora Doutora Maria José de Oliveira, por acreditar que a educação é o caminho necessário ao crescimento humano. Pela oportunidade dada e recebida com muito carinho e admiração. Ao colega de projeto Nei Evandro, pela força e tranquilidade, transmitida ao longo desta caminhada. Aos grandes amigos professores e amigos de classe, conquistados nestes anos de estudo e dedicação. Aos funcionários do Colégio CDA, pela oportunidade concedida. Muito obrigado, de coração.
Sávio Bueno
“Não confunda jamais conhecimento com sabedoria.
Um o ajuda a ganhar a vida. O outro a construir uma vida.”
Sandra Carey
RESUMO O presente estudo tem por objetivo propor uma Política de Segurança da Informação física e
lógica, de acordo com a Norma ABNT NBR ISO/IEC 27002 (2005), para a Escola Centro
Dinâmico de Aprendizagem, Colégio CDA. Para desenvolvimento da política adotou-se
como metodologia a análise da literatura pertinente ao tema, das normas de segurança da
informação, visitas à instituição e encontros com a direção da instituição para levantamento
de dados. Foram observadas vulnerabilidades no uso, tratamento e armazenamento da
informação pela instituição. Como resultado, foi elaborada a proposta de Política de
Segurança da Informação do Colégio CDA.
Palavras-chave: Segurança da Informação, Política de Segurança da Informação,
informação, ativos, risco e vulnerabilidade.
ABSTRACT This study aims to propose a Security Policy of physical and logical information, according
to Standard ISO/IEC 27002 (2005), for the School of Dynamic Learning Center, CDA
College. For development policy was adopted as a methodology to analyze the relevant
literature to the topic of information security standards, the institution visits and meetings
with the management of the institution for data collection. Vulnerabilities have been
observed in the use, treatment and storage of information by the institution. As a result, it was
elaborated the draft Security Policy of Information of the CDA College.
Keywords: Information security, Information Security Policy, information, assets, risk,
vulnerability.
LISTA DE ILUSTRAÇÕES, QUADROS E TABELAS Ilustrações
Ilustração 1 - Entrada principal do Colégio CDA 27
Ilustração 2 - Vista dos fundos da escola 28
Ilustração 3 - Vista do condomínio 28
Ilustração 4 - Área de circulação frontal 29
Ilustração 5 - Área de circulação nascente 30
Ilustração 6 - Área de circulação poente 30
Ilustração 7 - Corredor principal 31
Ilustração 8 - Acesso à sala da Secretaria 32
Ilustração 9 - Secretaria 32
Ilustração 10 - Diretoria 33
Ilustração 11 - Fiação elétrica e lógica da sala da Diretoria 33
Ilustração 12 - Armários da diretoria 34
Ilustração 13 - Câmera do corredor 35
Ilustração 14 - Cozinha 36
Ilustração 15 - Porta de saída da cozinha com sensor 36
Ilustração 16 - Coordenação 38
Ilustração 17 - Laboratório de informática 40
Quadros Quadro 1 - Níveis de impacto 22
Quadro 2 - Níveis de probabilidade 23
Quadro 3 - Matriz de risco do colégio 42
Tabelas Tabela 1 - Matriz de risco 24
Tabela 2 - Vulnerabilidades 40
Lista DE SIGLAS ABNT – Associação Brasileira de Normas Técnicas.
ISO - International Organization for Standardization.
SI - Segurança da Informação
PSI - Política de Segurança da Informação.
TI - Tecnologia da Informação.
CDA - Centro Dinâmico de Aprendizagem.
CPU - Central Única de Processamento.
DVR - Digital Video Recorder
SUMÁRIO Capítulo 1 Introdução 10
1.1 Problema 10
1.2 Objetivos 11
1.2.1 Geral 11
1.2.2 Específicos 11
1.3 Abrangência 12
1.4 Justificativas 12
1.5 Procedimentos Metodológicos 12
1.6 Organização da Monografia 13
Capítulo 2 Referencial Teórico 14
2.1 Informação 14
2.1.1 Dado 14
2.1.2 Informação 14
2.1.3 Ativo 15
2.1.4 Gestão da Informação 15
2.1.5 Classificação da Informação 16
2.2 Segurança 17
2.2.1 Segurança da Informação 18
2.2.2 Normas de Segurança 19
2.2.3 Segurança da Informação na Internet 19
2.2.4 Incidente de Segurança da Informação 20
2.2.5 Vulnerabilidades 20
2.2.6 Ameaças 20
2.2.7 Ameaças à Informação 20
2.3 Risco 21
2.3.1 Gestão de Risco 21
2.3.2 Análise de Risco 21
2.3.3 Determinação do Nível de Impacto 22
2.3.4 Determinação das Probabilidades 23
2.3.5 Matriz de Risco 23
2.3.6 Política de Segurança da Informação 24
Capítulo 3 Estudo de Caso 26
3.1 Sobre o Colégio CDA 26
3.1.1 Estrutura Física 26
3.1.2 Estrutura Lógica 37
3.1.2.1 Análise das Vulnerabilidades e dos Riscos Físicos e Lógicos 40
3.1.2.2 Identificação dos Riscos Verificados no Colégio 42
3.1.2.3 Análise dos Riscos Encontrados 43
Capítulo 4 Proposta de Política de Segurança da Informação – PSI 44
4.1 Contextualização da Política 44
4.2 Objetivos 45
4.3 Abrangência 45
4.4 Termos e Definições 45
4.5 Referências 46
4.6 Diretrizes de Segurança 46
4.6.1 Organizando a Segurança da Informação 47
4.6.2 Recursos Humanos 47
4.6.3 Acesso e Controle dos Ativos de Informação 48
4.6.4 Controle e Classificação da Informação 49
4.6.5 Cópias de Segurança 49
4.6.6 Controle de Acesso e Segurança de Documentos e Sistemas 49
4.6.7 Monitoramento 50
4.6.8 Política de Mesa Limpa e Tela Limpa 50
4.6.9 Acesso e Uso de Sistemas e Rede 51
4.6.10 Correio Eletrônico 51
4.6.11 Proteção de Equipamentos 52
4.7 Responsabilidades 52
4.8 Conformidade 53
4.9 Penalidades 53
4.10 Disposições Finais 53
Capítulo 5 Conclusões 54
Referências 55
10
Capítulo 1
INTRODUÇÃO
A informação é, em boa parte das empresas, o ativo mais valioso. Toda a história da
empresa, as especificações de seus produtos, serviços, seus clientes, fornecedores e
funcionários, tudo deve ser registrado e arquivado para a continuidade dos negócios. A perda
ou o vazamento das informações pode prejudicar ou até mesmo inviabilizar a continuidade
das atividades de uma empresa.
Segundo Xavier e Costa (2009, p.6), “a informação e o conhecimento são,
simultaneamente, causa e efeito um de si mesmos”. Portando, em uma instituição de ensino,
que tem na transmissão do conhecimento seu principal objetivo, a informação adquire um
valor ainda maior.
Mas se por um lado a informação pode ser um bem muito valioso, por outro, nos dias
de hoje, também é um algo abundante, em especial, na Internet, rede mundial de
computadores. Ao se conectar à Internet, tem-se acesso a uma quantidade enorme de
informação, mas a Internet também representa um desafio quanto ao sigilo, quanto esta
informação não deve ser divulgada. A Internet, de certa forma, aproxima um grande número
de agentes mal-intencionados prontos a roubar, ou danificar informação, ou apenas causar
danos aos sistemas.
Como toda empresa e instituição de ensino, o Centro Dinâmico de Aprendizagem -
Colégio CDA, também tem na informação um ativo muito valioso. O presente trabalho
propõe uma Política de Segurança da Informação com as diretrizes para uma gestão eficiente
dos ativos de informação. Na política foram estudadas as vulnerabilidades, analisados os
riscos e traçadas as estratégias para a mitigação destes riscos.
1.1 PROBLEMA
O Colégio CDA trabalha com a informação de várias maneiras. Seu principal produto
é o conhecimento que busca transmitir aos alunos. O conhecimento é informação
armazenada, e pode-se dizer, que a informação é o principal produto da instituição. A
informação se apresenta na forma de cadastros (de dados de alunos, de dados de
11
funcionários), de inventário de bens, de sistemas de Tecnologia da Informação (TI), enfim,
de diversas formas, a informação está presente no dia a dia do Colégio CDA.
Não obstante, até a presente data, o Colégio CDA não possui uma Política de
Segurança de Informação. Em momento algum foram definidas regras para a gestão desse
ativo tão importante para o Colégio.
Este estudo procura preencher esta lacuna.
1.2 OBJETIVOS 1.2.1 Geral
Propor uma Política de Segurança da Informação física e lógica, de acordo com a
Norma ABNT NBR ISO/IEC 27002 (2005), para a Escola Centro Dinâmico de
Aprendizagem, Colégio CDA.
1.2.2 Específicos
Foram desenvolvidos os seguintes objetivos específicos:
• Levantar os ativos da instituição e os sistemas que dão suporte às atividades;
• Identificar os riscos, por meio da identificação das ameaças aos ativos e das
vulnerabilidades que possam ser exploradas por essas ameaças.
• Analisar os riscos através da atribuição de valores aos ativos, estabelecendo os níveis
de aceitabilidade do risco e a aplicação do tratamento adequado;
• Estimar os impactos que as perdas de confidencialidade, integridade, disponibilidade
e autenticidade podem causar aos ativos;
• Elaborar diretrizes e normas de segurança da informação sobre os seguintes aspectos:
o Acessos externos, internos, físico e lógico;
o Uso da Intranet e Internet;
o Uso e instalação de softwares;
o Uso de correio eletrônico;
• Propor a aplicação da Política de Segurança da Informação desenvolvida.
12
1.3 ABRANGÊNCIA
As diretrizes estabelecidas deverão ser seguidas por todos os funcionários,
prestadores de serviço, clientes, fornecedores e visitantes, que tenham ou venham a ter
contato através de acesso local ou remoto a quaisquer bens ou serviços de tecnologia da
informação adquiridos, desenvolvidos, disponibilizados ou mantidos pelo Centro Dinâmico
de Aprendizagem, Colégio CDA.
A Proposta de Política de Segurança da Informação dará ciência a cada funcionário de
que os ambientes, documentos, sistemas, computadores e redes da empresa poderão ser
monitorados e gravados, com prévia informação, conforme previsto nas leis brasileiras.
1.4 JUSTIFICATIVAS
O presente estudo se justifica porque proporcionará ao Colégio CDA:
• Uma estratégia eficiente para a gestão de seus ativos de informação.
• O estabelecimento de diretrizes claras para a SI - Segurança da Informação.
• A definição de maneira clara e transparente, da responsabilidade de cada funcionário
da instituição dentro da SI.
• A base para o desenvolvimento de outros procedimentos que visem o crescimento da
instituição.
• A mitigação de riscos operacionais e legais.
1.5 PROCEDIMENTOS METODOLÓGICOS
O presente estudo valeu-se de dados colhidos em visitas ao Colégio CDA. Nestas
visitas foram realizadas observações e levantamentos de ativos e vulnerabilidades em todo o
ambiente que abriga o Colégio CDA, em sua estrutura física e lógica. Foram realizadas
entrevistas não estruturadas com os administradores e com funcionários da instituição.
Os dados coletados foram analisados tomando-se como parâmetro as normas ABNT
NBR ISO/IEC 27001:2013, ISO/IEC 13335 e em especial a ABNT NBR ISO/IEC
27002:2005.
Para análise de risco foi utilizada a norma ABNT NBR ISO/IEC 27005 (2008) e as
orientações propostas por Fernando Nicolau Freitas Ferreira e Márcio T. Araújo no livro
13
Política de Segurança da Informação (2006).
1.6 ORGANIZAÇÃO DA MONOGRAFIA Esta monografia está organizada em cinco capítulos, como se segue:
• Capítulo 1 – Introdução.
• Capítulo 2 – Referencial Teórico.
• Capítulo 3 – Estudo de caso.
• Capítulo 4 – Proposta de Política de Segurança da Informação (PSI).
• Capítulo 5 – Conclusões.
• Referências.
14
Capítulo 2
REFERENCIAL TEÓRICO
2.1 INFORMAÇÃO 2.1.1 Dado
Define-se dado como “uma sequência de símbolos quantificados ou quantificáveis”
(SETZER, 2015). Segundo Rezende (2005, p.5) “o dado é um elemento puro, quantificável
sobre um determinado evento”. Um dado é a representação de um evento e pode não ter um
significado individual Como exemplo: um caractere sozinho pode não ter nenhum significado
para a pessoa que o lê, mas um conjunto de caracteres formando palavras e frases passam a
ser um texto, ou seja, uma informação.
No sentido da Tecnologia da Informação, de acordo com Norton (1996, p.102),
“dados são os sinais brutos e sem significado individual que os computadores utilizam para
produzir informações”.
2.1.2 Informação Informação é “qualquer ideia ou fato que possa ser registrada ou transmitida de
alguma forma” (CARIBÉ; CARIBÉ, 1996, p.13). Um livro, uma música, uma imagem, são
informação.
Segundo Sêmola (2003, p.51), “informação é o conjunto de dados utilizados na
transferência de uma mensagem”. Enquanto o dado pode não ter um significado, um conjunto
de dados organizados forma a informação, que já possui um significado.
Para que possa assim ser considerada, a informação deve ser registrada. Por exemplo,
o vento, em si não é um dado ou informação. Quando passa-se a medir, em um determinado
local, a velocidade do vento, você tem um dado, a velocidade do vento naquele instante.
Agora quando se passa a organizar esses dados, registrando a velocidade do vento a cada
hora, tem-se então a informação do comportamento do vento a cada hora.
A informação pode ser armazenada e transmitida de diversas maneiras, como por
exemplo por meio de uma folha de papel, um arquivo de computador, a memória de uma
pessoa ou a voz humana.
As pessoas e organizações, em suas atividades, produzem informação, seja por meio
de registros de suas atividades, pela experiência ou pela busca do conhecimento. A
15
informação também é registrada de diversas maneiras. As cláusulas do contrato de trabalho
de um funcionário são arquivadas fisicamente no departamento de pessoal, as trocas de
mensagens eletrônicas entre os funcionários são arquivadas em meio lógico nos servidores de
e-mail; a experiência em lidar com situações inesperadas na produção industrial está
registrada na memória do funcionário. A informação acumulada, por meio da produção ou
aquisição, pela empresa ou indivíduo, é essencial para a execução de suas atividades. Para
uma escola, é vital que haja uma lista de alunos, uma tabela de cargos e funções, uma escala
de trabalho, um calendário acadêmico.
2.1.3 Ativo
Segundo Dantas (2011, p.21) “o ativo compreende o conjunto de bens e direitos de
uma entidade”.
Outro conceito é o de que ativo é “tudo aquilo que possui valor para a organização”
(ISO/IEC 13335-1:2004, p.1). Como exemplo, tem-se a informação.
Com a evolução dos meios de registros da informação, ao longo da história, muita
informação passou a ser acumulada. Com o advento da tecnologia e da informática, o volume
de informação registrada e acumulada deu um grande saldo e com a popularização da
Internet e das mídias, essa quantidade de informação passou a estar disponível a qualquer
pessoa conectada.
Neste cenário é crescente a necessidade de qualidade e segurança nas informações. A
informação segura e de qualidade tornou-se um diferencial competitivo e verdadeiro requisito
à operação e à continuidade dos negócios de empresas e pessoas (SILVA, 2008, p.3). Para
muitas pessoas e empresas, a informação passou a ser considerada o seu principal ativo e
como tal, deve ser protegida.
2.1.4 Gestão da Informação Ao reconhecer a importância da informação para a continuidade de seus negócios,
cabe à empresa gerir esse importante ativo. A gestão da informação é especialmente estudada
pela Ciência da Informação.
“A Gestão da Informação é um processo que consiste nas atividades de busca,
identificação, classificação, processamento, armazenamento e disseminação de informações,
independentemente do formato ou meio em que se encontra (seja em documentos físicos ou
digitais)” (GESTÃO DA INFORMAÇÃO, 2009, n.p.).
16
Pode-se ainda detalhar os passos da gestão da informação da seguinte maneira:
• Busca: pesquisa com a finalidade de encontrar fontes, e fontes confiáveis para se
obter as informações desejadas.
• Identificação: aferição da relevância das informações coletadas e determinação, entre
estas, de quais atendem as necessidades da organização.
• Classificação: classificar as informações de acordo com a características e relevância
identificadas.
• Processamento: tornar a informação mais adequada ao seu uso e mais compreensível
a quem se destina.
• Armazenamento: caso seja necessário, armazena-se a informação, de maneira a
facilitar a utilização futura.
• Disseminação: trata-se de fazer a informação chegar a quem se destina, no momento
em que deve chegar. (GESTÃO DA INFORMAÇÃO, 2009, n.p.).
2.1.5 Classificação da Informação
Proteger a informação pode acarretar em custos, e esses custos dependem do nível de
proteção que se dá a cada ativo. Dar um nível de proteção alto a todos os ativos resultará em
custos desnecessários, pois nem todos os ativos necessitam do mesmo nível de proteção.
Conclui-se que é necessário classificar a informação em função do nível de criticidade desta
na organização. Essa classificação aperfeiçoará o uso dos recursos de informação e auxiliará
a tomada de decisões.
Outro benefício da classificação é manter harmonia entre a confidencialidade e a
disponibilidade das informações, uma vez que um controle muito rígido no acesso às
informações atrapalha a disponibilidade para aquelas que deveriam estar mais acessíveis.
Alguns pontos, como os citados a seguir, são relevantes na classificação da
informação:
• O objeto de negócio da empresa ou indivíduo. O tipo de produto ou serviço oferecido
é determinante para indicar quais informações devem ser mais protegidas. Como
exemplo, para uma empresa de seguros, o cadastro de seus clientes é um ativo muito
importante e se em mãos da concorrência, permitiria que estes fossem abordados com
ofertas de negócio. Por outro lado, também e muito importante que os dados do
17
cliente estejam prontamente disponíveis quanto ele ligar para acionar alguma
assistência ou registrar um sinistro.
• A legislação que protege determinados ativos. Muitas vezes a falha na proteção da
informação pode resultar em riscos legais. Também como exemplo, o registro das
transações financeiras de um cliente de banco é protegido pela lei do Sigilo Bancário
(BRASIL, 2001). Para o banco, a confidencialidade desses registros é de suma
importância, por outro lado, a disponibilidade do registro deve ser assegurada a cada
momento em que o cliente quiser acessá-las nos veículos de comunicação autorizados
a recuperá-las.
Em geral, classifica-se a informação em função das consequências da perda,
divulgação, alteração indevida ou indisponibilidade da mesma para a organização. Neste
modelo, apresenta-se abaixo o exemplo de classificação dada por Ferreira (2003, p.23-24):
• Classe 1: Não classificada – Informação pública, que não trará impacto se divulgada
fora da empresa. Ex. folders publicitários.
• Classe 2: Interna – Informação que, embora preferencialmente deva permanecer de
conhecimento interno, caso chegue ao conhecimento externo, não trariam
consequências críticas. Ex. lista de cargos e funções.
• Classe 3: Confidencial – Informação que, caso comprometida, traria consequências
graves à instituição. Deve ter seu acesso externo impedido e controlado dentro da
empresa. Ex. dados pessoais de funcionários.
• Classe 4: Secreta – Informações críticas para a empresa. No caso de perda, causariam
danos críticos e irreparáveis, comprometendo até mesmo a continuidade dos
negócios. Além de não ser permitido o acesso externo, deve ter o seu acesso interno
restrito a um número muito pequeno de pessoas, com regras para a sua utilização. Ex.
ações disciplinares envolvendo funcionários.
2.2 SEGURANÇA
A segurança pode assumir variados conceitos, dependendo da área a que se aplica,
como por exemplo segurança pública ou segurança do trabalho.
Segundo o Dicionário Aurélio (2008), entre outros significados, compreende-se como
segurança: qualidade do que é ou está seguro; conjunto das ações e dos recursos utilizados
para proteger algo ou alguém; o que serve para diminuir os riscos ou os perigos.
18
De uma maneira geral, pode-se afirmar que segurança é o ato de deixar algo ou
alguém seguro.
2.2.1 Segurança da Informação A informação é um bem de grande valor para as pessoas e organizações e como todo
bem valioso, ela deve ser protegida. Segundo Ferreira (2003, p.1), a segurança da informação
é a área da Gestão de Segurança que trata da proteção da informação das diversas ameaças a
que está exposta, com por exemplo o roubo, a adulteração e a indisponibilidade, garantindo a
continuidade dos negócios.
Entre os aspectos da Segurança da Informação, podem-se destacar as seguintes:
1) Confidencialidade: capacidade de permitir o acesso à informação por parte de
alguns enquanto impede o acesso de outros. O sistema deve permitir o controle
deste acesso, autorizando-o a quem lhe for de direito e negando o acesso a quem
não for autorizado.
2) Integridade: capacidade de garantir que a informação esteja completa, ou seja,
mantenha todas as características originais, não tenha sido corrompida.
3) Disponibilidade: segundo Ferreira (2003, p.2) “garantia de que os usuários
autorizados obtenham acesso à informação e aos ativos sempre que necessário”.
4) Autenticação: garantia que o usuário que acessa o sistema é realmente quem alega
que seja.
5) Não repudio: capacidade de poder provar que determinada ação foi executada por
determinado usuário, sem margem para negativa.
6) Legalidade: aderência do sistema à legislação vigente.
7) Privacidade: capacidade de, quando necessário, manter um usuário anônimo, sem
que se possa atribuir a este as ações executadas. O sistema deve permitir um
controle e manter a transparência sobre quais ações e quais dados podem ser
atribuídos ao usuário e compartilhados com outros usuários.
8) Auditoria: capacidade de se poder auditar as ações do usuário, possibilitando a
detecção de fraudes, mau uso ou tentativas de ataque.
Pode-se, portanto, considerar que Segurança da Informação seja o conjunto de ações
voltadas a garantia das características supracitadas.
19
2.2.2 Normas de Segurança Entre as normas desenvolvidas por organizações internacionais de normatização,
muitas delas são voltadas para a segurança. Entre estas organizações, destacam-se a
International Organization for Standardisation (ISO) (Organização Internacional para
Padronização) fundada em 1947 e a International Electrotechnical Commission (IEC)
(Comissão Eletrotécnica Internacional), fundada em 1906, ambas em Genebra, na Suíça. A
IEC trata de temas relacionados ao setor elétrico e eletrônico. A ISO trata dos demais temas.
Cada país também possui o seu organismo normativo que representa os organismos
internacionais. No Brasil, a ISO e a IEC são representadas pela Associação Brasileira de
Normas Técnicas (ABNT).
Quando uma norma internacional é adotada pelo organismo nacional, a norma
nacional adota a mesma designação da norma ISO ou IEC. Como exemplo, a norma ABNT
NBR ISO/IEC 27005 é a adoção, na íntegra, da norma ISO/IEC 2705.
No presente estudo de Política de Segurança da Informação, foram utilizadas como
base as seguintes normas:
• ABNT NBR ISO/IEC 27001: Requisitos de sistemas de gestão da segurança da
informação.
• ISO/IEC 13335: Técnicas de gestão da segurança da informação.
• ABNT NBR ISO/IEC 27002: Código de prática para controles de segurança da
informação.
2.2.3 Segurança da Informação na Internet Muitas pessoas e empresas utilizam a Internet para comunicação, aquisição e oferta de
produtos e serviços. Empresas também utilizam a internet para prover soluções que são
acessadas por funcionários remotamente. O ambiente web se estende até mesmo ao interior
das organizações, através das intranets, redes internas que utilizam interface web
(GUIMARÃES, 2010). Quanto maiores os investimentos em soluções e serviços web, mais
valiosos se tornam os ativos envolvidos e mais importantes passa a ser a proteção desses
ativos.
A segurança, voltada para o ambiente web, se dá de várias maneiras, começando por
equipamentos e softwares voltados para a segurança, como firewalls, antivírus e detectores
de intrusão. Também se faz igualmente importante a configuração correta dos equipamentos
e softwares e, por fim, a conscientização e capacitação de todo o quadro de funcionários.
20
2.2.4 Incidente de Segurança da Informação Entende-se por incidente de segurança, “um evento que possa causar a interrupção do
processo de negócio, através da quebra de algum dos aspectos da segurança da informação,
como a confidencialidade, integridade e disponibilidade” (LYRA, 2008, p.4).
Segundo o CERT (2004), “um incidente de segurança em computadores pode ser
definido como uma atividade nas máquinas ou na rede que possa ameaçar a segurança dos
sistemas computacionais”. Como exemplos, pode-se citar invasões, infecção por vírus e
negação de serviço.
2.2.5 Vulnerabilidades Segundo Wadlow (2000, p.12), “vulnerabilidades são os pontos fracos existentes nos
ativos, que quando explorados por ameaças, afetam a confiabilidade, a disponibilidade e a
integridade das informações de uma pessoa ou organização”.
Em específico na área de TI, Lasdowsky (2013, p.8) conceitua vulnerabilidades como
as “brechas nos sistemas desatualizados ou mal desenvolvidos, que usuários mal-
intencionados utilizam para acessar os conteúdos”
Resumidamente, vulnerabilidades são as brechas que quando exploradas, permitem a
ocorrência de incidentes de segurança.
2.2.6 Ameaças
Segundo Alencar (2015, p.10) ameaça “é qualquer situação, com intenção maliciosa
ou não, que possa colocar em risco ou trazer algum prejuízo para os ativos de uma
empresa através da exploração de vulnerabilidades”. Não há como prever em que momento
se dará uma ameaça.
De acordo com Sêmola (2003, p.52-53), pode-se ser dividir as ameaças nos seguintes
grupos:
• Naturais: decorrentes de fenômenos da natureza, como enchentes e terremotos. • Involuntárias: causadas de maneira inconsciente ou por desconhecimento, como imperícia ou a perda de dados por queda de energia. • Voluntárias: causadas voluntariamente, como ataque de hackers ou infecção por vírus.
2.2.7 Ameaças à Informação As ameaças à informação estão diretamente ligadas à três das principais
características da informação: confidencialidade, integridade e disponibilidade. De acordo
21
com a característica atingida pode-se classificá-las como:
• Perda de Confidencialidade: ocorre ao serem disponibilizadas informações
restritas à pessoa não autorizada. Exemplo: o vazamento de dados de cartões de
crédito de clientes de uma loja virtual.
• Perda de Integridade: ocorre quando há alteração indevida, perda de parte ou do
todo da informação. Exemplo: a alteração das notas através de acesso indevido de
aluno ao sistema da escola.
• Perda da disponibilidade: ocorre quando a informação não está disponível a quem
deveria. Exemplo: a queda da comunicação de um computador da rede com o
servidor
Os conceitos acima descritos, reúnem ideias apresentadas em Ameaças (s.n.t.) e
Ferreira (2003, p.99-100).
2.3 RISCO Compreende-se risco, como a combinação entre a probabilidade de um evento acorrer
e o impacto de sua ocorrência. Em outras palavras, a combinação entre a classificação que foi
dada à informação e a probabilidade da ocorrência de alguma ameaça (FERREIRA, 2003,
p.101).
Por sua vez, Fontes (2010) define risco como “a possibilidade de uma determinada
ameaça explorar vulnerabilidades de um ativo ou de um conjunto de ativos, desta maneira
prejudicando a organização”.
2.3.1 Gestão de Risco Tendo-se em vista o valor dos ativos da organização e os riscos a que estão expostos,
é necessário estabelecer estratégias para controla-los e leva-los a um nível aceitável. Chama-
se a isto Gestão de Riscos.
Segundo Vitoriano (2012, n.p.), “gestão de risco é a adoção de medidas e políticas
que busquem o equilíbrio entre riscos e custos. Comporta os processos de planejamento,
organização, direção e controle dos recursos da empresa”.
A principal ferramenta da Gestão de Risco é a Análise de Riscos.
2.3.2 Análise de Risco Apesar de já se ter a percepção dos riscos a que estão expostos os ativos de
informação da instituição, esta é um tanto qualitativa e abstrata. Para a tomada de decisão
22
quanto a proteção que será dada aos ativos, é necessária uma informação mais quantitativa e
objetiva e para esta finalidade, usa-se a análise de riscos.
As análises de risco devem “identificar, quantificar, e priorizar os riscos com base em
critérios para a aceitação dos riscos e dos objetivos relevantes para a organização” (ABNT
NBR ISO/IEC 27005, p.6).
Diante disso, a análise de riscos tem de ser encarada como um instrumento fundamental para diagnosticar a situação atual de segurança da empresa, através da sinergia entre o entendimento dos desafios do negócio, o mapeamento das funcionalidades dos processos de negócio e o relacionamento deles com a diversidade de ativos físicos, tecnológicos e humanos que hospedam falhas de segurança. (SÊMOLA, 2012, p.102)
Existem mais de uma técnica de análise de riscos. Gaivéo (2007) apresenta os
seguintes passos para a elaboração de uma análise de riscos:
1) Identificação dos ativos e classificação de acordo com a sua importância para o
negócio.
2) Identificação das vulnerabilidades e ameaças ligadas a cada ativo.
3) Determinação da probabilidade de ocorrência de cada uma das ameaças.
4) Através do cruzamento dos dados, identificar os riscos de acordo com a relação
probabilidade X impacto.
5) Traçar estratégias para o tratamento dos riscos, em especial os de maior resultado na
relação probabilidade X impacto.
2.3.3 Determinação do Nível de Impacto Neste ponto, relacionam-se os ativos de informação da organização, classificando-os
de acordo com a sua criticidade para o negócio. O quadro 1, seguinte, sugere uma
classificação, considerando o nível de impacto que o ativo pode causar quando for efetivada
uma ameaça:
Quadro 1: níveis de impacto.
Nível Definição
Alto Perda significante dos principais ativos e recursos
Perda de reputação, imagem e credibilidade
Impossibilidade de continuar com as atividades do negócio
23
Quadro 1: níveis de impacto. (continuação) Nível Definição
Médio Perda dos principais ativos e recursos
Perda de reputação, imagem e credibilidade
Baixo Perda dos alguns ativos e recursos
Perda de reputação, imagem e credibilidade
Fonte: Ferreira (2003, p.100) 2.3.4 Determinação das Probabilidades Deve-se determinar a probabilidade de ocorrência de cada um dos ativos, levando-se
em conta riscos da natureza, ameaças intencionais, falhas de sistema, etc.
O quadro 2 apresenta a sugestão para classificação das probabilidades. Quadro 2: níveis de probabilidade.
Nível Definição
Alto Fonte de ameaça está totalmente motivada e possui conhecimento
suficiente para a execução do ataque. Os controles de segurança para
prevenir que a vulnerabilidade seja explorada são ineficazes.
Médio Fonte de ameaça está totalmente motivada e possui conhecimento
suficiente para a execução do ataque. Os controles de segurança para
prevenir que a vulnerabilidade seja explorada são eficazes.
Baixo Fonte de ameaça não está totalmente motivada e possui
conhecimento suficiente para a execução do ataque. Os controles de
segurança para prevenir que a vulnerabilidade seja explorada são
eficazes.
Fonte: Ferreira (2003, p.98) 2.3.5 Matriz de Risco Uma das melhores ferramentas para se chegar a valores quantitativos do risco é a
Matriz de Risco. Segundo Ferreira (2003), a Matriz de Risco é a multiplicação entre a
classificação da probabilidade e o impacto da ocorrência.
A tabela 1 apresenta a fórmula para o cálculo do risco para os ativos.
24
Tabela 1: matriz de risco.
Impacto
Probabilidade Baixo (10) Médio (50) Alto (100)
Alto (1,0) Baixo 10 * 1,0 = 10 Médio 50 * 1,0 = 50 Alto 100 * 1,0 = 100
Médio (0,5) Baixo 10 * 0,5 = 5 Médio 50 * 0,5 = 25 Mé
dio 100 * 0,5 = 50
Baixo (0,1) Baixo 10 * 0,1 = 1 Baixo 50 * 0,1 = 5 Baixo 100 * 0,1 = 10
Fonte: Ferreira (2003, p.101) 2.3.6 Política de Segurança da Informação
A Política de Segurança da Informação é um dos resultados da Análise de Risco.
Segundo Sêmola (2003, p.53), “com o propósito de fornecer orientação e apoio às
ações de gestão de segurança, a política tem um papel fundamental e, guardadas as devidas
proporções, tem importância similar à constituição federal para um país”.
“Política de segurança é um conjunto de regras e padrões sobre o que deve ser feito
para assegurar que as informações recebam a proteção conveniente que possibilite garantir a
sua confidencialidade, integridade e disponibilidade” (BARMAN, 2002, p.4.) (tradução
nossa).
“A Política de Segurança da Informação – PSI é um documento que registra os
princípios e as diretrizes de segurança adotados pela organização, a serem observados por
todos os seus integrantes e colaboradores e aplicados a todos os sistemas de informação e
processos corporativos” (BASTO, 2015).
Uma Política de Segurança da Informação envolve políticas, padrões e procedimentos
que são assim definidas por Ferreira (2003, p.34):
• Políticas: Texto de alto nível, que dá direcionamento geral e significado aos objetivos e intenções da administração, quanto à segurança das informações;
• Padrões: Declaração mais específica. Representa o conjunto de medidas necessárias para estabelecer o controle;
• Procedimentos: Descrição passo-a-passo sobre como atingir os resultados esperados.
A política de segurança de informações deve estabelecer princípios institucionais de como a organização irá proteger, controlar e monitorar seus recursos computacionais e, consequentemente, as informações por eles manipuladas. É
25
importante que a política estabeleça ainda as responsabilidades das funções relacionadas com a segurança e discrimine as principais ameaças, riscos e impactos envolvidos. (DIAS, 2000 citado por LAUREANO, 2005, p.56)
Como aplicação real de uma Política de Segurança da Informação, o próximo capítulo
trará o estudo de caso do Colégio CDA.
26
Capítulo 3
ESTUDO DE CASO
3.1 SOBRE O COLÉGIO CDA
Inaugurado em fevereiro de 2004, o Centro Dinâmico de Aprendizagem - Colégio
CDA foi construído visando a prática educacional nas séries iniciais. Sua estrutura e
acabamento foram projetados para o acolhimento de crianças e pré-adolescentes, do ensino
integral ou parcial.
3.1.1 Estrutura Física
O Colégio CDA possui dois pavimentos. No térreo do prédio, encontram-se quatro
salas de aulas, maternal, jardim e a sala do período integral. Também encontram-se a
secretaria da escola, laboratório de informática com sala de leitura, sala de professores,
coordenação, diretoria, refeitório, banheiro comum e para deficiente físico, ambos equipados
com chuveiro e trocador.
Na parte externa, pode ser encontrado o parquinho em madeira, parquinho em
plástico, área coberta com gramado sintético, área descoberta com gramado orgânico para
prática esportiva, sala de serviços gerais, estrutura do gás de cozinha, horta e piscina
aquecida e gradeada.
No primeiro pavimento encontram-se mais quatro salas usadas para as séries do
primeiro ao quinto ano, almoxarifado, salão de eventos, laboratório de ciências e dois
banheiros específicos para meninos e meninas.
A escada que liga o térreo ao piso superior possui portão com trinco, que impede a
passagem das crianças menores. Também possui dois corrimãos e piso antiderrapante.
O Colégio CDA conta ainda com um elevador para portadores de necessidades
especiais. Toda estrutura encontra-se regulamentada e autorizada pela fiscalização do Corpo
de Bombeiros Militar do Distrito Federal.
O Colégio CDA possui duas entradas, uma voltada para a via principal do bairro e
outra para dentro do condomínio, Residencial IPÊ. A ilustração 1, mostra a fachada do
colégio.
27
Ilustração 1 - Entrada principal do Colégio CDA.
. Fonte: documentação do trabalho.
O muro do colégio possui dois metros e três centímetros de altura. O portão tem dois
acessos, de veículos e de pessoas, entretanto, o acesso é sempre feito pelo portão maior,
destrancando o cadeado regularmente para a passagem de pessoas e trancando o cadeado em
seguida. Este procedimento é realizado pelos funcionários da secretaria e também por
monitoras do colégio, que possuem acesso às chaves dos portões e dos cadeados.
Nenhuma criança sai sem a presença de algum responsável, entretanto, o sistema
SISEDUCA não é consultado, comprometendo a segurança na saída dos alunos. É levado em
consideração o conhecimento, por parte de quem entrega as crianças, aos responsáveis,
entretanto, caso algum novo funcionário venha a substituir algum funcionário que
habitualmente desempenha este papel, esta ação pode ocasionar na liberação de uma criança
para um desconhecido, apenas levando em consideração a palavra dessa pessoa.
A entrada do Colégio CDA pelo condomínio é para uso exclusivo de serviço, como
jardinagem, limpeza da piscina, retirada do lixo, entrada e saída de compras e mercadorias
em geral. A ilustração 2 mostra a parte posterior do colégio.
28
Ilustração 2 – Vista dos fundos da escola.
Fonte: documentação do trabalho.
O Colégio possui duas entradas para o condomínio: uma grande para o trânsito de
veículos de serviço e outra menor para o transito de pessoas. Normalmente o acesso é
facilitado através do portão maior, em virtude do cadeado estar sempre aberto, sendo
trancado no período da noite. Funcionários e crianças, tendo força para abrir o portão, podem
ter acesso ao condomínio Residencial Ipê, e apesar do condomínio não possuir saída e o
tráfego de veículos ser pouco durante o dia, existe a possibilidade de acidentes ao atravessar
a rua.
A ilustração 3 mostra a situação do colégio dentro do condomínio.
Ilustração 3 – Vista do condomínio
Fonte: documentação do trabalho.
29
Embora o condomínio Residencial Ipê seja limitado, ele possui dois acessos
principais sendo um de veículos e outro de pessoas. Possui ainda guarita sem funcionário
para fazer a identificação de quem entra e saí do condomínio; o acesso pode ser com chave,
pelo portão para pessoas e com controle remoto no portão de veículos.
Até a presente data, nenhum incidente foi registrado.
Área de circulação frontal (Ilustração 4) da escola não possui câmeras de
monitoramento, entretanto, nenhuma criança fica circulando, nos corredores externos, fora do
horário de recreação.
Ilustração 4 – Área de circulação frontal
Fonte: documentação do trabalho.
Na Área de circulação nascente (ilustração 5) está localizado o elevador e o gás de
cozinha. O elevador é somente para uso de pessoas com necessidades especiais e está
regulamentado pela fiscalização e bombeiros. O elevador tem acesso pelo corredor do térreo
e a saída no salão interno da escola, no primeiro pavimento.
30
Ilustração 5 – Área de circulação nascente
Fonte: documentação do trabalho.
O acesso à área coberta, situado no fundo da escola, é feito pelo portão com trinco,
sem cadeado, normalmente utilizado para separar a brincadeira das crianças maiores das
menores, caso ambas estejam no mesmo horário de recreio.
A casinha do gás de cozinha também foi regulamentada e autorizada pela fiscalização
e bombeiros, estando em local arejado, entretanto não possui grade de proteção.
Área de circulação poente (Ilustração 6), é onde encontram-se dois grandes
brinquedos, um parque de plástico e outro de madeira, ambos fixados ao chão que é revestido
de material aderente e macio, de fácil lavagem e manutenção.
Ilustração 6 – Área de circulação poente
Fonte: documentação do trabalho.
31
O corredor principal do colégio (Ilustração 7) possui porta de vidro, do tipo blindex
de 10 polegadas de espessura, conforme foi estabelecido pela fiscalização e bombeiros.
Ilustração 7 – Corredor principal
Fonte: documentação do trabalho.
As tomadas são do novo padrão, que impossibilitam a criança inserir qualquer
material em seu interior, o que poderia causar choque elétrico.
O piso interno da escola é em granitina, sem emendas e não é escorregadio, de fácil
limpeza e conservação.
As salas do térreo são para as crianças menores e devido a este fator, a escada possui
portão com trinco, sem cadeado. A escada também possui dois tipos de corrimão, um para
adultos e outros para crianças, conforme determinação da fiscalização e bombeiros.
Três dispositivos de luz de emergência estão disponíveis neste ambiente, escada,
corredor do térreo e corredor do primeiro piso, caso falte energia.
O Acesso à sala da Diretoria (Ilustração 8) é através da Secretaria, onde a porta está
sempre aberta, permitindo a livre circulação.
32
Ilustração 8 – Acesso à sala da Secretaria
Fonte: documentação do trabalho.
A Secretaria é a sala que antecede o acesso à sala da Diretoria, que fica sempre aberta
e onde possui um móvel de arquivo com as informações dos alunos. O arquivo possui chave,
mas está sempre destrancado possibilitando o acesso às informações (Ilustração 9).
Ilustração 9 – Secretaria
Fonte: documentação do trabalho.
Como podem ser observados na ilustração 10, os documentos e materiais pessoais,
como bolsas, celulares, pen drivers e o computador portátil com informações do financeiro da
escola podem ser extraviados facilmente, devido ao fácil acesso a estas informações.
Acesso à sala da Secretaria e Diretoria.
33
Ilustração 10 – Diretoria
Fonte: documentação do trabalho.
Computador, impressora, fax, dois estabilizadores, roteador com access point e
modem, estão ligados em uma mesma régua com fusível e está, a uma tomada com
aterramento. Este aterramento é composto por 5 barras de cobre com 2 metros de altura cada.
Todas as tomadas da escola possuem aterramento (Ilustração 11).
Ilustração 11 – Fiação elétrica e lógica da sala da Diretoria
Fonte: documentação do trabalho.
34
A sala da Diretoria possui dois armários e um arquivo, todos chaveados que guardam
documentos de alunos, funcionários e das empresas que prestam serviços para a escola
(Ilustração 12).
Uma geladeira, que serve para guardar material de uso diário da escola, como polpas,
sucos industrializados, hambúrgueres, entre outros, fica disponível nesta sala em virtude da
segurança e controle deste tipo de material. Entretanto, a sala tem o acesso facilitado por
estar sempre aberto, o que não garante a integridade dos produtos ali armazenados.
Ilustração 12 – Armários da diretoria
Fonte: documentação do trabalho.
A ilustração 13 mostra os dispositivos de segurança instalados no corredor do Colégio
CDA.
35
Ilustração 13 – Câmera do corredor
Fonte: documentação do trabalho.
Localizado ao centro do corredor principal, tem-se a presença de um repetidor de
sinal WiFi e uma câmera de monitoramento com pan tilt, ou seja, a câmera se movimenta em
dois eixos podendo ter uma visualização completa do ambiente.
Por padrão, a câmera está sempre voltada para a entrada da escola, permitindo o
registro do acesso à escola pelo portão principal bem como de quem entra e é atendido na
sala da Secretaria. A câmera ainda grava o áudio ambiente e imagens noturnas ou com pouca
luminosidade.
Esta câmera possui dois tipos de acessos: um através de aplicativo para dispositivos
móveis e outro por um programa instalado no computador. O acesso remoto é realizado por
dois perfis: administrador e usuário. O administrador pode mudar a visualização da câmera e
alterar sua configuração, enquanto o perfil usuário só pode assistir o que está sendo
transmitido.
A cozinha do Centro Dinâmico de Aprendizagem, Colégio CDA, (Ilustração 14) teve
a aprovação da fiscalização e do Corpo de Bombeiros Militar do Distrito Federal, no que se
refere à segurança do ambiente, item fundamental para a aprovação do alvará de. Blindex na
bancada, retirada do botijão de gás e portão de acesso à cozinha foram as mudanças
36
necessárias para garantir uma maior segurança neste ambiente.
Ilustração 14 – Cozinha
Fonte: documentação do trabalho.
O Colégio CDA possui contrato de prestação de serviço de monitoramento e
segurança patrimonial junto à empresa Contato Imediato Ltda.
Neste contrato, seis sensores de movimento foram instalados na entrada da escola, no
refeitório (Ilustração 15), no laboratório de informática, na porta do refeitório que dá acesso à
área externa, no fundo da escola, e nas janelas do banheiro e da sala da diretoria.
Ilustração 15 – Porta de saída da cozinha com sensor
Fonte: documentação do trabalho.
Sensor
37
3.1.2 Estrutura Lógica A parte lógica, de voz e de dados da instituição encontra-se da seguinte forma:
• Telefone sem fio e com base que permite a localização do aparelho. É de fácil acesso
e sem restrições, ou seja, pode receber ligações a cobrar de números não identificados
e pode efetuar ligações para celulares e interurbanos;
• Fax - é de uso exclusivo da escola e fica disponível na sala da diretoria;
• A escola possui 12 equipamentos computacionais, sendo eles oito do laboratório de
informática, um na coordenação, um na secretaria, dois na diretoria, sendo um deles
notebook, aparelho de fax, duas impressoras lasers, duas estações e telefones sem fio,
HD de 1TB interno para backup, 13 estabilizadores e um no-break. Estes
computadores contam com os seguintes recursos:
o Anti-Virus – apenas o computador da diretoria possui um sistema pago, os
demais usam uma versão gratuita.
o Rede – a escola possui internet ADSL. A rede é composta por:
� AccessPoint TPLink com quatro saídas de roteamento, senha padrão
WEP2;
� Repetidor TPLink, situado no centro do corredor principal da escola;
� RUB de 6 portas, ligando apenas cinco computadores via cabo, os
demais utilizam a rede via placa de rede sem fio ou adaptador USB
para redes sem fio;
� A rede é via DHCP, sem IPs ou sub máscaras específicas para cada
setor da escola;
o Acesso - Os computadores possuem níveis de acesso do Windows, específicos
para cada máquina, sendo um de administrador e outro para usuários
específicos de cada setor, ou seja, no laboratório de informática, administrador
e aluno, na diretoria, administrador e diretor, assim por diante. Entretanto não
possuem protetor de tela com bloqueio, o que permite o acesso de qualquer
pessoa, caso o computador esteja sem usuários operando.
o Normalmente o computador fica ligado, sem bloqueio de tela, o que possibilita
o acesso ao seu conteúdo e navegação na Internet, que também não possui
restrições de acesso.
o Para acesso aos sistemas, é necessário informar usuário e senha, entretanto a
falta de um bloqueio de tela e a incapacidade dos sistemas de solicitarem novo
38
login, caso a sessão seja perdida, o acesso às informações destes sistemas está
vulnerável a acessos não autorizados e à perda destas informações, como a
exclusão de seus registros. Apenas um usuário está cadastrado para acesso
autenticado a estes sistemas. Este usuário é compartilhado com outros
funcionários, impedindo uma auditoria caso ocorra perda de informações ou
alterações não autorizadas nos registros.
o A sala da Coordenação do Colégio CDA, possui um computador que acessa a
rede via sinal wireless. Esta estação de trabalho possui sistema operacional
Ubuntu versão 15, sem acesso aos sistemas internos da escola (Ilustração 16).
Ilustração 16 – Coordenação
Fonte: documentação do trabalho.
o Backup - No computador da secretaria é onde existem os sistemas mais
importantes: um pedagógico e outro de envio de informações para o fisco.
Existe um HD de 1TB no computador da diretoria, que está em rede,
entretanto, nenhuma rotina de backup automática está ativa, nem mesmo
interno das aplicações, onde poderia ter os dados em duas estações de
trabalho. Para fazer o backup, o usuário deve copiar e colar as pastas
referentes aos dados e colar no HD da máquina compartilhada. Uma cópia
39
destes dados também é guardada em pen drive. Esta rotina de backup é
esporádica e realizada somente por um único funcionário que opera o sistema.
O computador da Secretaria possui os programas mais importantes da escola,
SIACOW, sistema para a emissão de notas fiscais, desenvolvido pela empresa GALOGO e o
SISEDUCA, sistema pedagógico e financeiro desenvolvido pela empresa EDUTi. Como
medida de segurança da empresa GALOGO, um nobreak é utilizado para as máquinas de
emissão do cupom fiscal e cartão de crédito.
Na sala da Diretoria onde decisões importantes são tomadas, encontra-se um
computador sem acesso aos sistemas importantes da escola. Este computador possui dois
HDs, de 500GB e 1TB, sendo o segundo disco para backup de arquivos como planilhas,
documentos, fotos, músicas e vídeos. Este disco tem o diretório compartilhado na rede,
possibilitando o fácil acesso aos seus documentos, dentre eles o backup dos sistemas
constantes no computador da Secretaria.
Na área destinada a backup, no computador da Diretoria, não foi encontrado nenhum
arquivo até a data de elaboração desta Proposta de Segurança da Informação.
O acesso ao computador da coordenação é através de duas contas: uma de
administrador com senha e outra conta de visitante, sem senha. Estes acessos são apenas do
sistema operacional, pois a escola não possui um servidor que valide estes acessos.
A sala da coordenação não possui armários com documentos de alunos.
Um cartão de memória da câmera de segurança do corredor principal está instalado e
pode ser acessado por um programa específico instalado nos computadores da Secretaria,
Diretoria e Coordenação. Este recurso permite o monitoramento constante de quem entra e
sai da escola e da sala da Secretaria. Esta câmera está ligada à rede elétrica e na falta de
energia, tem seu funcionamento inoperante.
O laboratório de informática (Ilustração 17) possui oito computadores ligados em
rede por meio de um HUB. O controle de acesso a estes computadores é realizado apenas
pelo Sistema Operacional Windows vista, sendo um usuário do tipo administrador e outro do
tipo aluno. Programas básicos e jogos que estimulam o aprendizado das crianças estão
instalados.
40
Ilustração 17 – Laboratório de Informática
Fonte: documentação do trabalho.
O acesso à internet não é monitorado por um servidor com firewall e proxy. O
antivírus é grátis, ou seja, não pago e com atualização automática via internet.
Os CPUs ficam localizados próximos ao chão, onde a criança que estiver utilizando
fica com as pernas próximas ou coladas ao aparelho.
A informação no Colégio CDA não obedece a qualquer tipo de classificação quanto à
criticidade e a atribuição de rótulos para armazenamento e descarte.
3.1.2.1 Análise das Vulnerabilidades e dos Riscos Físicos e Lógicos
Na tabela 2 tem-se a apresentação das vulnerabilidades encontradas e o cálculo da
probabilidade em relação ao impacto, apresentando o grau do risco apresentado.
Tabela 2: vulnerabilidades
Item Ameaça Probabilidade Impacto Risco
1 O Centro Dinâmico de Aprendizagem, Colégio CDA, não possui um documento da Política de Segurança da Informação.
0,5 100 MÉDIO 0,5 x 100 = 50
2 Telefone de fácil acesso e sem restrições de chamadas para celular, interurbano ou internacional.
0,1 10 BAIXO 0,1 x 10 = 1
41
Tabela 2: vulnerabilidades (continuação)
Item Ameaça Probabilidade Impacto Risco
3 A identificação de pais ou responsáveis, não é realizada através de consulta ao sistema SISEDUCA.
0,1 10 BAIXO
0,1 x 10 = 1
4
Funcionários, visitantes e crianças podem ter acesso ao condomínio através do portão dos fundos da escola que fica destrancado, podendo ocasionar um acidente de trânsito.
0,5 100 MÉDIO
0,5 x 100 = 50
5 O acesso à sala da Diretoria é através da Secretaria, onde a porta está sempre aberta, permitindo livre circulação.
0,1 10 BAIXO
0,1 x 10 = 1
6
A sala da Secretaria, possui um móvel de arquivo, com as informações dos alunos. O arquivo possui chave, mas está sempre destrancado, possibilitando o acesso às informações.
0,5 100 MÉDIO
0,5 x 100 = 50
7
Na sala da Secretaria, que está sempre aberta, a informação está disponível no computador sem proteção de tela e sem bloqueio do Sistema Operacional, facilitando o manuseio do equipamento, como navegação na internet e acesso a documentos diversos, tanto da rede, quanto dos sistemas internos.
1,0 100 ALTO
1,0x100=100
8
Documentos diversos, podem ser percebidos fora de seus locais de segurança, possibilitando o fácil acesso às suas informações.
1,0 100 ALTO
1,0x100=100
9
Uma rotina de backup não foi estabelecida, sendo realizada de maneira esporádica por um funcionário e guardado em um pen drive pessoal apenas. A área destinada a backup, no computador da Diretoria, não foi encontrado, até a data de elaboração deste documento, nenhum arquivo.
0,5 100 MÉDIO
0,5 x 100 = 50
10
Documentos e materiais pessoais, como bolsas, celulares, pen drivers e o computador portátil com informações do financeiro da escola, pode ser extraviados facilmente, devido ao fácil acesso a estas informações.
1,0 100 ALTO
1,0x100=100
11
A câmera, localizada no centro do corredor do piso térreo, está ligada à rede elétrica. Na falta de energia, fica inoperante seu funcionamento.
0,5 100 MÉDIO
0,5 x 100 = 50
42
Tabela 2: vulnerabilidades (continuação)
Item Ameaça Probabilidade Impacto Risco
12 A escola não possui câmera de monitoramento na entrada.
0,1 10 BAIXO
0,1 x 10 = 1
13
O acesso à internet não é monitorado por um servidor com firewall e proxy. O antivírus é gratuito, com atualização automática via internet.
0,1 10 BAIXO
0,1 x 10 = 1
14
Os CPUs do laboratório, ficam localizados próximos ao chão, onde a criança que estiver utilizando fica com as pernas próximas ou coladas ao aparelho.
0,1 10 BAIXO
0,1 x 10 = 1
15 Casinha do gás de cozinha sem grade de proteção.
0,5 100 MÉDIO
0,5 x 100 = 50 Fonte: Adaptado de Ferreira (2003, p.101) 3.1.2.2 Identificação dos Riscos Verificados no Colégio
O resultado da probabilidade de ocorrência da ameaça versus o impacto no colégio, é
a matriz de risco que está sendo apresentada no quadro 3. Nesta matriz, foram sintetizadas
em oito itens, as vulnerabilidades descritas na tabela 2. O estudo apresenta a distribuição dos
níveis de riscos, conforme identificação relacionada junto às informações obtidas ao longo da
análise.
Quadro 3: matriz de risco do colégio.
Ativo Probabilidade Impacto
Valores Baixo Médio Alto Baixo Médio Alto
Roubo
Segurança das Instalações
Acesso as informações por pessoas não autorizadas.
Controle de acesso
Acessibilidade do Local
Segurança das Informações
Não possui uma Política de Segurança da Informação
Incêndio
Fonte: Adaptado de Ferreira (2003, p.101)
43
3.1.2.3 Análise dos Riscos Encontrados Roubo de equipamento apresentou uma probabilidade alta devido ao risco ser tanto
externo ou interno.
A probabilidade média da segurança da instalação tem alto impacto, pois interfere
diretamente na execução dos trabalhos da escola.
O acesso às informações por pessoas não autorizadas é de extrema importância, tendo
alta classificação de impacto, podendo implicar diretamente na credibilidade da instituição
devido à alta probabilidade de extravio, exclusão ou perda destes ativos de informação.
O controle de acesso tem média classificação de probabilidade e impacto devido à
escola estar, noventa por cento do expediente de trabalho, somente com crianças e
funcionários. Os acessos externos normalmente estão controlados por funcionários ou
servidores, entretanto carece de melhorias visando a continuidade do negócio.
Acessibilidade do local tem baixa classificação de probabilidade por ter seus
equipamentos normalmente sendo utilizados por funcionários da escola, entretanto seu
impacto é médio, pois a perda de algum material particular pode impedir o bom
funcionamento da escola.
A classificação alta para a segurança das informações merece destaque por se tratar de
equipamentos necessários para a manutenção dos trabalhos da escola.
O Colégio CDA não possui uma PSI, a probabilidade sendo média, não interrompe os
trabalhos da escola, entretanto a utilização de uma proposta de segurança da informação pode
evitar sérios problemas detectados ao longo das análises dos riscos e impactos.
A probabilidade de incêndio é baixa, devido a implantação de todas as normas de
segurança recomendadas, entretanto o impacto pode ser alto, caso venha a acontecer.
Para a elaboração das diretrizes, tomaram-se por base as sugestões contidas na ABNT
NBR ISO/IEC 27002 (2005).
44
Capítulo 4
PROPOSTA DE POLÍTICA DE SEGURANÇA DA INFORMAÇÃO - P SI
- PARA O CENTRO DINÂMICO DE APRENDIZAGEM - COLÉGIO
CDA
4.1 CONTEXTUALIZAÇÃO DA POLÍTICA
O Centro Dinâmico de Aprendizagem – Colégio CDA, integrando o Sistema de
Ensino do Distrito Federal, fundamentando-se nos princípios da Educação Nacional, nas
Diretrizes Curriculares Nacionais da Educação Básica (princípios, fundamentos e
procedimentos), nas teorias do construtivismo, dos fundamentos legais dos Direitos da
Criança e do Adolescente, norteará suas ações nos seguintes objetivos institucionais:
1) Contribuir para formação harmônica e global do Educando, em seus aspectos
social, cultural e emocional, proporcionando experiências concretas
selecionadas a partir do conhecimento de suas características, suas necessidades
e seus interesses;
2) Oportunizar ao Educando partilhar experiências, pensar por si mesmo, avaliar-
se, aceitar críticas e responsabilidades contribuindo para o exercício consciente
da cidadania;
3) Estimular a integração do Educando com o meio sociocultural, oferecendo-lhe
as condições necessárias para o desenvolvimento de sua capacidade de
expressão e interação social, despertando-a para a criatividade e sensibilidade e
para as manifestações artísticas e culturais;
4) Proporcionar a descoberta do meio ambiente, garantindo ao Educando, liberdade
de ação para realizar experiências e enfrentar obstáculos, valorizando atitudes e
hábitos para sua preservação.
45
4.2 OBJETIVOS
O objetivo geral da Política de Segurança da Informação (PSI) do Colégio CDA, é
proteger os dados, informações e conhecimentos adquiridos nestes 12 anos de atuação no
ramo da educação infantil, através da preservação da confidencialidade, integridade e
disponibilidade dos ativos, visando garantir a continuidade e melhoria do serviço, bem como
a sustentabilidade da instituição.
4.3 ABRANGÊNCIA
A Política de Segurança da Informação abrange todo o recurso de informação de
propriedade e utilização pelo Centro Dinâmico de Aprendizagem. Isto inclui informações
geradas, adquiridas e trabalhadas pelo Colégio CDA, sendo aplicada a todas as atividades que
sejam desenvolvidas por funcionários, professores, monitores, clientes e prestadores de
serviço.
4.4 TERMOS E DEFINIÇÕES
Ativos – Qualquer coisa que tenha valor para a organização, como informação,
software, recursos físicos (máquinas, equipamentos, material de laboratório), tecnológicos,
serviços, pessoas (qualificações, habilidades e experiências) e recursos intangíveis (reputação
e imagem).
Classificação – processo que identifica informações de acordo com o seu valor,
permitindo estabelecer nível de segurança adequando para cada tipo de informação
estabelecendo controles e procedimentos necessários para a seleção, tratamento, transmissão,
armazenamento e descarte dessas informações.
Confidencialidade – garantia de que a informação está acessível somente à pessoas
autorizadas.
Conformidade – é o cumprimento de leis, regulamentos e cláusulas contratuais.
Criticidade – grau de importância da informação para a continuidade dos negócios
do Colégio CDA.
Custódia – consiste na responsabilidade de guardar um ativo para terceiros.
Disponibilidade – garantia de que os usuários autorizados tenham acesso à
informação e aos ativos necessários.
46
Gestor – pessoa encarregada pela administração de um ativo de informação incluindo
a própria informação.
Incidente de segurança – é qualquer evento ou ocorrência que promova uma ou mais
ações que prometam ou que seja uma ameaça à integridade, autenticidade ou disponibilidade
de qualquer ativo do Colégio CDA.
Informação – conjunto de dados organizados de acordo com procedimentos
executados por meios eletrônicos ou não, que possibilitam a realização de atividades
especifica e/ou tomada de decisão.
Integridade – garantia de criação legítima e da consistência da informação ao longo
do seu ciclo de vida, em especial, prevenção contra a alteração ou destruição não autorizada
de dados e de informações.
Política de Segurança da Informação – documento ou conjunto de diretrizes que
provê à direção, orientação e o apoio para a segurança da informação.
Segurança da Informação – conjunto de normas, procedimentos e atividades
voltadas para a preservação da confidencialidade, integridade e disponibilidade do ativo
informação.
Terceiros – todo individuo, grupo ou entidade pública ou privada que assumir e
mantiver, de forma temporária ou permanente, relação com o Colégio CDA.
4.5 REFERÊNCIAS
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC
27002:2005 – Tecnologia da Informação – Técnicas de Segurança – Código de prática para a
gestão da segurança da informação. Rio de Janeiro, 2005.
ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO/IEC
27001:2006 – Tecnologia da Informação – Técnicas de Segurança - Código de prática para a
gestão da segurança da informação. Rio de Janeiro, 2006.
BEAL. Adriana. Manual de Segurança de Sistemas da Informação. São Paulo:
Atlas, 2003.
4.6 DIRETRIZES DE SEGURANÇA
A Política de Segurança da Informação é direcionada para a proteção da informação
47
nos seus requisitos de confidencialidade, integridade, disponibilidade e conformidade.
4.6.1 Organizando a Segurança da Informação
a) A Política de Segurança da Informação deve ser aprovada pela Diretoria do
Colégio CDA, publicada e comunicada a todos os colaboradores do colégio.
b) Essa Política é aplicável às informações sob gestão do Colégio CDA, que
podem existir de muitas maneiras: escrita em papel, armazenada e transmitida por meios
eletrônicos, exibidas em filmes ou falada em conversas formais e informais. Seja qual for a
forma apresentada ou o meio através do qual a informação seja apresentada ou compartilhada
ela deverá estar sempre protegida adequadamente, de acordo com os controles definidos
nesta política.
c) Todos os mecanismos de proteção utilizados para a segurança das informações
devem ser mantidos para preservar a continuidade de seus negócios.
d) É obrigação do Colégio CDA criar mecanismos de divulgação da Política de
Segurança da Informação para todos os funcionário, clientes e prestadores de serviço.
e) A consultoria de um especialista interno ou externo em segurança da
informação, analise criticamente e coordene os resultados desta consultoria por toda a escola.
f) A criação de um fórum exclusivo de gestão da PSI com as responsabilidades
de implantar, acompanhar, fiscalizar e sugerir melhorias.
4.6.2 Recursos Humanos
a) Todos os funcionários, professores e colaboradores do Colégio CDA e,
quando pertinente, parceiros, fornecedores e terceiros devem ser conscientizados, educados e
treinados nos procedimentos de segurança da informação e no uso correto dos ativos de
informação.
b) Todos os empregados, professores, parceiros, fornecedores, terceiros,
colaboradores eventuais e usuários dos ativos de informação devem assinar Termo de
Compromisso sobre os seus papéis e responsabilidades pela segurança da informação.
c) As responsabilidades pela segurança da informação devem constar nos
contratos de admissão de forma adequada, nas descrições de cargos e nos termos de
desligamento e condições de efetivação do processo de extinção contratual entre o
empregado e o Colégio CDA.
48
d) Quando da mudança de responsabilidades e ou atribuições dentro da escola,
faz-se necessária a revisão imediata dos direitos de acesso e uso da informação.
e) É de responsabilidade da direção do Colégio CDA garantir que a segurança da
informação seja aplicada a todo trabalho dentro da organização.
f) As alterações da Política de Segurança da Informação devem ser comunicadas
aos funcionários, parceiros e terceiros um período antes da mesma ser implementada, para
que esses possam adaptar-se a mesma.
g) Todos os funcionários, fornecedores e terceirizados devem devolver os ativos
do Colégio que estejam em sua posse, após o encerramento de suas atividades, contrato ou
acordo.
4.6.3 Acesso e Controle dos Ativos de Informação
a) A instalação e manutenção de aplicativos informatizados e periféricos de
informática devem ser analisados antes de seu emprego para garantir que sejam compatíveis
com outros componentes do sistema.
b) O uso de recursos e informações serão controlados e monitorados pelo
Colégio CDA, para garantir o uso restrito, controlado e correto dos mesmos.
c) O uso de equipamentos pessoais ou privados, de processamento da informação
como computadores da escola, notebooks, smartphones, tablets, telefones e fax, devem ser
comunicados à direção do Colégio CDA.
d) Todo o conteúdo de informação para divulgação deve ser criticado e
autorizado pelo gestor da informação do Colégio CDA, antes de sua veiculação em agendas,
internet, e-mails, mural, banners, panfletos e eventos internos e externos à escola.
e) O acesso às salas e setores sensíveis do Colégio CDA, como sala dos
professores, secretaria, diretoria, laboratórios e almoxarifado, deve ser autorizado e
acompanhado pelo funcionário responsável pelo setor.
f) Recursos de software ou documentos de identificação de pais, responsáveis e
alunos, devem ser de fácil acesso de pessoal autorizado, para consulta antes da liberação de
qualquer criança, evitando erros na entrega destes alunos a pessoal não autorizado. Estas
autorizações devem ser informadas mediante apresentação de documento e assinadas na
secretaria da escola, visando um melhor controle e segurança dos ativos da escola.
49
g) Todo acesso externo deverá ser avaliado, identificado e devidamente
autorizado, cabendo aos responsáveis pelo Colégio CDA a análise das reais necessidades
desse acesso a documentos ou outros recursos de processamento da informação.
h) As violações à segurança da informação devem ser registradas e esses
registros devem ser analisados para os propósitos de caráter corretivo, legal e de auditoria. Os
registros devem ser protegidos e armazenados de acordo com a classificação da informação.
4.6.4 Controle e Classificação da Informação
a) Toda a informação deve ser classificada em termos de seu valor, requisitos
legais, sensibilidade e criticidade para o Colégio CDA. O cliente deve ter acesso apenas aos
ativos necessários e indispensáveis à sua necessidade.
b) A informação classificada receberá tratamento seguro que assegure
armazenamento, transmissão e descarte compatíveis com seu nível de criticidade.
4.6.5 Cópias de Segurança
a) Procedimentos de rotina de cópias de segurança deverão ser realizados,
mantidos e testados em tempo aceitável, considerando a utilização de software de gestão dos
ativos pedagógicos e financeiros, armazenamento de imagens e vídeos provenientes de
câmeras de monitoramento e vigilância, arquivos e documentos digitalizados.
b) Fontes de informação sensíveis ao desempenho das atividades do Colégio
CDA, como banco de dados e arquivos de segurança da informação, devem ser submetidos a
recursos adequados para a geração de cópias de segurança, visando garantir que toda
informação e softwares essenciais, possam ser recuperados após um desastre, roubo, falha
com dados corrompidos.
c) As cópias de segurança deverão ser armazenadas em uma localidade remota, a
uma distância suficiente para escapar dos danos de um desastre que possa acontecer no local
de origem da informação ou software.
d) Testes regulares deverão ser realizados para garantir a integridade das
informações armazenadas nos mecanismos de backup.
4.6.6 Controle de Acesso e Segurança de Documentos e Sistemas
a) Sistemas informatizados devem ser protegidos contra acessos não autorizados.
b) Fontes de informações físicas, arquivos de ficheiro com acesso a documentos
50
importantes devem estar sempre chaveados ou mantidos em segurança. A quantidade de
funcionários com acesso a estas informações deve ser reduzida, visando maior controle e
segurança destas informações.
c) Documentos encontrados fora de seus locais de segurança, sem a presença de
um responsável autorizado, deve ser reportado à direção do Colégio CDA para as devidas
providências.
4.6.7 Monitoramento
a) A utilização de monitoramento interno e externo deve ser informado a todos
os funcionários, clientes e parceiros do Colégio CDA, com a utilização de placas ou informes
que estejam de acordo com os requisitos legais relevantes aplicáveis para atividades de
registro e monitoramento.
b) Imagens, vídeos e áudios poderão ser utilizados para auditoria em decorrência
de mal utilização dos ativos da escola e violação do estabelecimento, sem a necessidade de
autorização escrita dos envolvidos.
c) O monitoramento e análise crítica dos serviços terceirizados deverão garantir a
aderência entre a segurança da informação e as condições estabelecidas em acordo pelas
partes.
4.6.8 Política de Mesa Limpa e Tela Limpa
a) Informações críticas ou sensíveis ao Colégio CDA, como documentos,
processos, atas, todos em papel e dispositivos de armazenamento eletrônicos, devem ser
guardados quando não utilizados, em armários, cofres ou outros locais de armazenamento
seguro e chaveado.
b) Computadores, tanto pessoais quanto da escola, incluindo os computadores do
laboratório, devem possuir a tela principal e área de trabalho limpas, dificultando o acesso a
sistemas e documentos eletrônicos sensíveis ao Colégio CDA, quando não utilizados por
longo prazo, devem ser desligados.
c) Uma tela de proteção com senha deve ser utilizada em caso de inatividade
pelo prazo de um minuto. O aplicativo de proteção de tela deve ser limpo ou condizente com
o tipo de trabalho utilizado no ambiente ou na escola como um todo.
d) Aparelhos fax, telefones pessoais ou da instituição e impressoras devem estar
em local protegido, impedindo seu fácil acesso.
51
e) Documentos impressos devem ser retirados da impressora assim que prontos.
f) Deve ser evitado o uso não autorizado de fotocopias, scanners, máquinas
digitais e celulares do tipo smartphones. Esta autorização deve ser adquirida junto à direção
do Colégio CDA.
4.6.9 Acesso e Uso de Sistemas e Rede
a) A utilização e instalação de utilitários e sistemas deve ser devidamente
analisado e autorizado. Aplicativos que sobreponham os mecanismos de segurança da
informação devem ser analisados antes de sua utilização, para que não ocorra falha de
segurança, podendo incidir na paralização do negócio.
b) Nenhum programa ou sistema deverá ser instalado ou acessado sem licença de
utilização.
c) Fontes de informações lógicas, como sistemas informatizados, devem ter o
acesso restrito com controle de acesso, senhas, telas com controle de sessão por tempo de
inatividade e criação de arquivos de logs de acesso para auditoria.
d) Toda utilização de equipamento pessoal, não monitorado, antes do acesso à
rede de dados do Colégio CDA, deverá ser devidamente autorizado e o equipamento deve ter
proteção adequada.
e) Sistemas autorizados sensíveis à escola deverão ter limitação do uso a um
número mínimo de usuários confiáveis.
f) Softwares utilitários e de sistemas desnecessários deverão ser desabilitados ou
removidos.
g) Os sistemas de informação existentes ou novos deverão ser dotados de
requisitos de controles de segurança que assegurem a continuidade do negócio institucional.
4.6.10 Correio Eletrônico
a) O uso do correio eletrônico do Colégio CDA é para fins corporativos e
relacionados às atividades do funcionário dentro da escola. A utilização desse serviço para
fins pessoais é permitida desde que feita com bom senso, não prejudique a escola e também
não cause impacto no tráfego da rede.
b) Funcionários, clientes e prestadores de serviço, devem autorizar o envio de
mensagens pelo colégio. É vetado o envio de mensagens não solicitadas para múltiplos
52
destinatários, exceto se relacionadas a uso legítimo da instituição.
4.6.11 Proteção de Equipamentos
c) Todo equipamento de uso sensível ao Colégio CDA deve estar devidamente
acondicionado, instalado e armazenado, impedindo o mau uso ou eventuais problemas
provenientes de desgaste, intervenção da natureza ou humana.
d) Computadores e periféricos devem estar instalados sob mesas ou racks
específicos para cada tipo de equipamento, ligados a uma rede estabilizada, com aterramento,
filtro de linha e dispositivos de carga independente como no-breaks.
e) Os dispositivos como câmeras, telefones, modens, roteadores, servidores,
DVRs – Digital Video Recorders e computadores selecionados para a manutenção do
trabalho, devem ser protegidos contra a falta de energia elétrica e outras intervenções de
funcionamento.
f) Botijões de gás e canalização devem ser protegidas por grades de proteção.
4.7 RESPONSABILIDADES
a) As diretrizes, normas e procedimentos de segurança da informação deverão
estar em acordo com a Política de Segurança da Informação e serem cumpridas por todos os
funcionários e colaboradores do Colégio CDA.
b) Pessoas com responsabilidades definidas pela segurança da informação podem
delegar as tarefas de segurança da informação para outros funcionários. Todavia eles
continuam responsáveis, devendo acompanhar a execução das tarefas delegadas, verificando
se estão sendo obedecidas tais tarefas.
c) Com relação à implantação e monitoramento da PSI, compete à diretoria:
a. Criar um organismo interno responsável pela coordenação da prática
da Segurança da Informação de acordo com o estabelecido nesta
política.
b. Assegurar os recursos necessários para as ações referentes à Política de
Segurança da Informação.
c. Excluir e autorizar o acesso aos ativos da escola.
d. Disponibilizar mecanismos que descaracterizem documentos que não
53
podem ser descartados inteiros.
e. Criar um fórum de Segurança da Informação.
f. Identificar a necessidade de auditoria ou consultoria especializada de
uso interno ou externo dos ativos da escola.
4.8 CONFORMIDADE
a) As diretrizes propostas nesta Política de Segurança da Informação estão em
conformidade com estatutos, legislação vigente, contratos, convênios, acordos de cooperação
e outros instrumentos do mesmo gênero celebrados com a escola.
b) Os resultados de cada ação de verificação de conformidade serão
documentados em relatório de avaliação de conformidade, o qual será encaminhado pelo
gestor de Segurança da Informação ao responsável pela área ou setor verificado, para ciência
e tomada das ações cabíveis.
c) Os gestores devem assegurar, em suas áreas de responsabilidade, o
atendimento à conformidade da Política de Segurança da Informação.
4.9 PENALIDADES
O descumprimento ou violação pelo funcionário, cliente ou parceiro do Colégio CDA
às regras previstas na Política de Segurança da Informação, resultará na aplicação das
sanções previstas em regulamentações internas e legislação em vigor.
4.10 DISPOSIÇÕES FINAIS
a) Todos os funcionários, fornecedores, clientes e terceirizados deverão ser
conscientizados quanto aos procedimentos para notificação dos eventos e fragilidades que
possam impactar a segurança dos ativos de informação institucionais.
b) A Proposta de Segurança da Informação deverá ser revisada a cada dois anos
ou quando ocorrerem mudanças significativas.
c) Esta PSI será implantada após aprovação pela diretoria do Colégio CDA.
54
Capítulo 5
CONCLUSÕES
A Política de Segurança de Informação apresentada, se implementada, irá garantir,
entre outros benefícios:
• Uma correta gestão dos ativos de informação do Colégio CDA.
• Uma alocação de recursos mais inteligente em SI.
• A correta definição das responsabilidades dos funcionários e direção do Colégio
CDA.
• A garantia da confidencialidade, integridade e disponibilidade dos ativos de SI.
55
REFERÊNCIAS ALENCAR, E. S. Política de segurança da informação para empresa OrionS/A. 2015. 48 f. Trabalho de Conclusão de Curso (Graduação)–Faculdades Icesp Promove de Brasília, Brasília, 2015. AMEAÇAS à segurança da informação de uma corporação. s.n.t. Disponível em <http://www.cnasi.com.br/ameacas-a-seguranca-da-informacao-de-uma-corporacao/>. Acesso em 01 jun de 2016. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. Autodiagnóstico: casos de Sucesso - Importância das normas internacionais para as Micro e Pequenas Empresas. Brasília, 2012. Disponível em <http://www.abntonline.com.br/ad/ex/rec_dicas2.html>. Acesso em 26 nov de 2015. BARMAN, Scott. Writing Information Security Policies . New Riders Publishing, 2002. BASTO, Fabrício. Política de Segurança da Informação: como fazer? 2015. Disponível em < http://analistati.com/politica-de-seguranca-da-informacao-como-fazer/>. Acesso em 01 jun de 2016. BRASIL. Lei Complementar nº 105, de 10 de janeiro de 2001. Dispõe sobre o sigilo das operações de instituições financeiras e dá outras providências. Diário Oficial da União, Brasília, DF, 11 jan. 2001. Seção 1, p. 1. CAMPINA JUNIOR, P. Os Desafios e a Importância da Gestão de Riscos de Segurança. São Paulo, 2015. Disponível em < http://safewayconsultoria.com/gestao-de-riscos-de-seguranca/>. Acesso em 16 nov de 2015. CARIBÉ, R.; CARIBÉ, C. Introdução à Computação. São Paulo: FTP, 1996. CENTRO DE ESTUDOS, RESPOSTA E TRATAMENTO DE INCIDENTES DE SEGURANÇA NO BRASIL. FAQ. Disponível em <http://www.cert.br/certcc/csirts/csirt_faq-br.html#2>. Acesso em 23 nov de 2015. COOPERATI, Zentyal. Disponível em < http://www.cooperati.com.br/2012/03/13/zentyal-gerenciamento-de-servidores-linux-parte1/>. Acesso em 01 dez de 2015. DANTAS, Marcus Leal. Segurança da Informação: uma abordagem focada em gestão de riscos. Olinda: Livro Rápido, 2011. Disponível em < http://www.marcusdantas.com.br/files/seguranca_informacao.pdf>. Acesso em 08 jun de 2016. DICIONÁRIO DO AURÉLIO. Significado de Segurança. 2008. Disponível em <http://dicionariodoaurelio.com/seguranca>. Acesso em 15 nov de 2015. EMPRESA BRASILEIRA DE PESQUISA AGROPECUÁRIA. Política de Segurança da Informação. Disponível em <http://cloud.cnpgc.embrapa.br/nti/politica-de-seguranca-da-informacao/>. Acesso em 22 nov de 2015.
56
FERREIRA, F. N. F.; ARAÚJO, M. T. Política de Segurança da Informação: guia prático para elaboração e implementação. Rio de Janeiro: Ciência Moderna, 2006. FERREIRA, F. N. F. Segurança da Informação. Rio de Janeiro: Ciência Moderna, 2003. FONTES, Edison. Gestão de riscos em Segurança da Informação. 2010. Disponível em <http://imasters.com.br/artigo/16323/seguranca/gestao-de-riscos-em-seguranca-da-informacao?trace=1519021197&source=single>. Acesso em 01 jun de 2016. GAIVÉO, Manuela. Análise e Gestão do Risco em Segurança da Informação. 2007. Disponível em: < http://www.sinfic.pt/SinficWeb/displayconteudo.do2?numero=24868>. Acesso em 01 jun de 1016. GESTÃO DA INFORMAÇÃO. O que é Gestão da Informação. Disponível em < http://informacaoparasuagestao.blogspot.com.br/2009/10/o-que-e-gestao-da-informacao.html>. Acesso em 16 nov de 2015. GUMARÃES, F. E. Segurança na Web. Porto Velho: SENAC, 2010. INTERNATIONAL ORGANIZATION FOR STANDARDIZATION. ISO/IEC 13335-1:2004. Genebra, 2004. LAUREANO, M. A.P. Gestão de Segurança da Informação. São Paulo: LT, 2005. p.56. Disponível em < http://docplayer.com.br/679416-Gestao-de-seguranca-da-informacao-marcos-aurelio-pchek-laureano-marcos-laureano-eti-br-01-06-2005.html>. Acesso em 01 jun de 2016. LASDOWSKY, Daniela. Segurança da Informação Segurança de Pessoas. São Caetano do Sul, 2013. Disponível em <http://www.academia.edu/3794112/USCS_UNIVERSIDADE_MUNICIPAL_DE_S%C3%83O_CAETANO_DO_SUL_MBA_em_Governan%C3%A7a_em_TI>. Acesso em 12/04/2016. LYRA, M. R. Segurança e Auditoria em Sistemas de Informação. Rio de Janeiro: Ciência Moderna, 2008. NORTON, P. Introdução à Informática. São Paulo: Makron Books, 1996. REZENDE, S. O. Sistemas Inteligentes. Barueri: Manole, 2005. SÊMOLA, M. Gestão da Segurança da Informação. Rio de Janeiro: Elsevier, 2003. SETZER, V. W. (2015). Dado, Informação, Conhecimento e Competência. São Paulo, 2015. Disponível em <https://www.ime.usp.br/~vwsetzer/dado-info.html>. Acesso em 23 nov de 2015. SILVA, G. M. Segurança em Sistemas Linux. Rio de Janeiro: Ciência Moderna, 2008. SOUZA, J. Segurança: a importância da gestão de riscos orientada a ativos de informação. 2011. Disponível em < http://www.tiespecialistas.com.br/2011/12/seguranca-a-importancia-
57
da-gestao-de-riscos-orientada-a-ativos-de-informacao/>. Acesso em 16 nov de 2015. VITORIANO, B. C. Gestão de Risco: você sabe o que é? 2012. Disponível em <http://www.portaleducacao.com.br/administracao/artigos/12107/gestao-de-risco-voce-sabe-o-que-e>. Acesso em 12 jun de 2016. WADLOW, Thomas. Segurança de Redes. Rio de Janeiro: Campus, 2000. XAVIER, R. C. M.; COSTA, R. O. Relações mútuas entre informação e conhecimento: o mesmo conceito? Disponível em < http://www.scielo.br/pdf/ci/v39n2/06.pdf/>. Acesso em 04 abr de 2016.
Top Related